EN ESTA PÁGINA
Descripción de la implementación de clústeres de chasis activo/pasivo
Ejemplo: Configuración de un clúster de chasis activo/pasivo en dispositivos SRX5800
Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo (SRX1500)
Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo (J-Web)
Descripción de la implementación de clústeres de chasis activo/pasivo con un túnel IPsec
Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec
Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec (J-Web)
Despliegues de clústeres de chasis activo/pasivo
Descripción de la implementación de clústeres de chasis activo/pasivo
En este caso, se utiliza un solo dispositivo del clúster para enrutar todo el tráfico, mientras que el otro dispositivo solo se utiliza en caso de que se produzca un error (consulte la Figura 1). Cuando se produce un error, el dispositivo de copia de seguridad se convierte en el principal y controla todo el reenvío.
de clúster de chasis activo/pasivo
Un clúster de chasis activo/pasivo se puede lograr mediante el uso de interfaces Ethernet redundantes (reths) que están todas asignadas al mismo grupo de redundancia. Si se produce un error en alguna de las interfaces de un grupo activo en un nodo, el grupo se declara inactivo y todas las interfaces del grupo se convierten en error en el otro nodo.
Esta configuración minimiza el tráfico a través del vínculo de estructura, ya que solo un nodo del clúster reenvía el tráfico en un momento dado.
Ver también
Ejemplo: Configuración de un clúster de chasis activo/pasivo en dispositivos SRX5800
En este ejemplo, se muestra cómo configurar la agrupación básica de chasis activo/pasivo en un dispositivo SRX5800.
Requisitos
Antes de empezar:
-
Necesita dos puertas de enlace de servicios SRX5800 con configuraciones de hardware idénticas y, opcionalmente, un enrutador de borde MX240 y un conmutador Ethernet EX8208 para enviar tráfico de datos de extremo a extremo.
-
Conecte físicamente los dos dispositivos (de espalda a frente para los puertos de estructura y control) y asegúrese de que sean los mismos modelos.
-
Antes de que se forme el clúster, debe configurar los puertos de control para cada dispositivo, así como asignar un ID de clúster y un ID de nodo a cada dispositivo y, luego, reiniciar. Cuando el sistema se inicia, ambos nodos se presentan como un clúster.
La configuración del puerto de control es necesaria para los dispositivos SRX5400, SRX5600 y SRX5800.
Ahora los dispositivos son un par. A partir de este punto, la configuración del clúster se sincroniza entre los miembros del nodo y los dos dispositivos independientes funcionan como un solo dispositivo.
Visión general
En este ejemplo, se muestra cómo configurar la agrupación de chasis básico activo/pasivo en un dispositivo serie SRX. El ejemplo básico activo/pasivo es el tipo de clúster de chasis más común.
El clúster básico de chasis activo/pasivo consta de dos dispositivos:
-
Un dispositivo proporciona activamente enrutamiento, firewall, TDR, VPN y servicios de seguridad, además de mantener el control del clúster de chasis.
-
El otro dispositivo mantiene pasivamente su estado para las capacidades de conmutación por error del clúster en caso de que el dispositivo activo se vuelva inactivo.
Este ejemplo de modo activo/pasivo para la puerta de enlace de servicios SRX5800 no describe en detalle configuraciones diversas, como cómo configurar TDR, políticas de seguridad o VPN. Son esencialmente las mismas que para las configuraciones independientes. Sin embargo, si está realizando ARP de proxy en configuraciones de clúster de chasis, debe aplicar las configuraciones de ARP de proxy a las interfaces de reth en lugar de las interfaces miembro, ya que las interfaces RETH contienen las configuraciones lógicas. Consulte Configuración del ARP de proxy para TDR (procedimiento de CLI). También puede configurar configuraciones de interfaz lógica independientes mediante VLAN e interfaces troncalizadas en la puerta de enlace de servicios SRX5800. Estas configuraciones son similares a las implementaciones independientes que utilizan VLAN e interfaces troncalizadas.
La figura 2 muestra la topología utilizada en este ejemplo.
Configuración
Configuración de los puertos de control y habilitación del modo de clúster
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
En {primary:node0}
[edit]
set groups re0 system host-name hostA
set groups re0 system backup-router 10.204.191.254
set groups re0 system backup-router destination 10.0.0.0/8
set groups re0 system backup-router destination 172.16.0.0/16
set groups re0 system backup-router destination 192.168.0.0/16
set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18
set apply-groups re0
set groups re0 system host-name hostB
set groups re0 system backup-router 10.204.191.254
set groups re0 system backup-router destination 10.0.0.0/8
set groups re0 system backup-router destination 172.16.0.0/16
set groups re0 system backup-router destination 192.168.0.0/16
set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.142/18
set apply-groups re0
set groups node0 system host-name hostA
set groups node0 system backup-router 10.204.191.254
set groups node0 system backup-router destination 10.0.0.0/8
set groups node0 system backup-router destination 172.16.0.0/16
set groups node0 system backup-router destination 192.168.0.0/16
set groups node0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18
set groups node1 system host-name hostB
set groups node1 system backup-router 10.204.191.254
set groups node1 system backup-router destination 10.0.0.0/8
set groups node1 system backup-router destination 172.16.0.0/16
set groups node1 system backup-router destination 192.168.0.0/16
set groups node1 interfaces fxp0 unit 0 family inet address 10.204.149.142/18
set chassis cluster control-ports fpc 1 port 0
set chassis cluster control-ports fpc 13 port 0
set chassis cluster cluster-id 1 node 0 reboot
set chassis cluster cluster-id 1 node 1 reboot
delete apply-groups re0
set apply-groups “${node}”
set chassis cluster reth-count 2
set chassis cluster redundancy-group 0 node 0 priority 254
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 254
set chassis cluster redundancy-group 1 node 1 priority 1
set interfaces fab0 fabric-options member-interfaces ge-3/2/8
set interfaces fab1 fabric-options member-interfaces ge-15/2/8
(Opcional) Para configurar rápidamente un conmutador de núcleo EX8208, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel jerárquico y, luego, ingrese commit desde el [edit] modo de configuración.
En {primary:node0}
[edit] set interfaces xe-1/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 set interfaces xe-2/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 set interfaces vlan unit 50 family inet address 10.2.2.254/24 set vlans SRX5800 vlan-id 50 set vlans SRX5800 l3-interface vlan.50 set routing-options static route 0.0.0.0/0 next-hop 10.2.2.1/24
(Opcional) Para configurar rápidamente un enrutador de borde MX240, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
En {primary:node0}
[edit] set interfaces xe-1/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching set interfaces xe-2/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching set interfaces irb unit 0 family inet address 10.1.1.254/24 set routing-options static route 10.0.0.0/8 next-hop 10.1.1.1 set routing-options static route 0.0.0.0/0 next-hop (upstream router) set vlans SRX5800 vlan-id X (could be set to “none”) set vlans SRX5800 domain-type bridge routing-interface irb.0 set vlans SRX5800 domain-type bridge interface xe-1/0/0 set vlans SRX5800 domain-type bridge interface xe-2/0/0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración.
Para configurar un clúster de chasis en un dispositivo serie SRX:
En el modo de clúster, la configuración se sincroniza a través del vínculo de control entre los nodos cuando se ejecuta un commit comando. Todos los comandos se aplican a ambos nodos independientemente del dispositivo desde el dispositivo que esté configurado el comando.
-
Configure ambos dispositivos independientes con la configuración de destino del enrutador de respaldo para proporcionar acceso de administración en el nodo de copia de seguridad después de que el dispositivo esté activado en modo de clúster. El acceso al nodo principal se habilita mediante el enrutamiento en el nodo principal.
user@hostA# set groups re0 system host-name hostA user@hostA# set groups re0 system backup-router 10.204.191.254 user@hostA# set groups re0 system backup-router destination 10.0.0.0/8 user@hostA# set groups re0 system backup-router destination 172.16.0.0/16 user@hostA# set groups re0 system backup-router destination 192.168.0.0/16 user@hostA# set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18 user@hostA# set apply-groups re0
user@hostB# set groups re0 system host-name hostB user@hostB# set groups re0 system backup-router 10.204.191.254 user@hostB# set groups re0 system backup-router destination 10.0.0.0/8 user@hostB# set groups re0 system backup-router destination 172.16.0.0/16 user@hostB# set groups re0 system backup-router destination 192.168.0.0/16 user@hostB# set groups re0 interfaces fxp0 unit 0 family inet address 10.204.149.142/18 user@hostB# set apply-groups re0
-
Dado que la configuración del clúster de chasis de la puerta de enlace de servicios serie SRX5000 se encuentra dentro de una única configuración común, para asignar algunos elementos de la configuración solo a un miembro específico, debe usar el método de configuración específico del nodo de Junos OS denominado grupos. El
set apply-groups ${node}comando usa la variable de nodo para definir cómo se aplican los grupos a los nodos; cada nodo reconoce su número y acepta la configuración en consecuencia. También debe configurar la administración fuera de banda en la interfaz fxp0 de la puerta de enlace de servicios serie SRX5000 mediante el uso de direcciones IP independientes para los planos de control individuales del clúster.No se permite configurar la dirección de destino del enrutador de respaldo como x.x.x.0/0.
user@hostA# set groups node0 system host-name hostA user@hostA# set groups node0 system backup-router 10.204.191.254 user@hostA# set groups node0 system backup-router destination 10.0.0.0/8 user@hostA# set groups node0 system backup-router destination 172.16.0.0/16 user@hostA# set groups node0 system backup-router destination 192.168.0.0/16 user@hostA# set groups node0 interfaces fxp0 unit 0 family inet address 10.204.149.140/18
user@hostB# set groups node1 system host-name hostB user@hostB# set groups node1 system backup-router 10.204.191.254 user@hostB# set groups node1 system backup-router destination 10.0.0.0/8 user@hostB# set groups node1 system backup-router destination 172.16.0.0/16 user@hostB# set groups node1 system backup-router destination 192.168.0.0/16 user@hostB# set groups node1 interfaces fxp0 unit 0 family inet address 10.204.149.142/18
Los grupos anteriores, la configuración del nodo 0 y el nodo1 se confirma, pero no se aplica. Una vez que el dispositivo está activo en el clúster, estos comandos se aplican mediante
set apply-groups “${node}”. -
Configure el puerto de control para cada dispositivo y confirme la configuración.
Asegúrese de tener la conexión del vínculo de control físico entre las tarjetas SPC en ambos nodos según la configuración.
Los puertos de control se derivan según la ubicación de SPC en el chasis y el valor de desplazamiento se basa en la plataforma. En el ejemplo siguiente, la SPC está presente en la ranura de ingresos 1 y debido a que la desviación de SRX5800 es 12, los puertos de control son 1, 13. Puede ver el valor offset de una plataforma determinada mediante
“jwhoami -c”el comando en modo de shell. Debe escribir los siguientes comandos en ambos dispositivos. Por ejemplo:-
En el nodo 0:
user@hostA# set chassis cluster control-ports fpc 1 port 0 user@hostA# set chassis cluster control-ports fpc 13 port 0 user@hostA# commit
-
En el nodo 1:
user@hostB# set chassis cluster control-ports fpc 1 port 0 user@hostB# set chassis cluster control-ports fpc 13 port 0 user@hostB# commit
-
-
Establezca los dos dispositivos en modo de clúster. Se requiere un reinicio para entrar en modo de clúster después de establecer el ID de clúster y el ID de nodo. Puede hacer que el sistema se inicie automáticamente incluyendo el
rebootparámetro en la línea de comandos de cli. Debe ingresar los comandos del modo operativo en ambos dispositivos. Por ejemplo:-
En el nodo 0:
user@hostA> set chassis cluster cluster-id 1 node 0 reboot
-
En el nodo 1:
user@hostB> set chassis cluster cluster-id 1 node 1 reboot
El ID de clúster debe ser el mismo en ambos dispositivos de un clúster, pero el ID de nodo debe ser diferente, ya que un dispositivo es el nodo 0 y el otro es el nodo 1. El intervalo para el ID de clúster es del 1 al 255. Establecer un ID de clúster en 0 equivale a deshabilitar un clúster. Pero se recomienda usar
set chassis cluster disablepara romper los nodos del clúster. -
-
Utilice los siguientes comandos para configurar el nodo 0, que es principal. El nodo 1 no es accesible hasta que se confirma la configuración del nodo. El nodo 0 sincronizará automáticamente la configuración a través del puerto de control con el nodo 1 y no es necesario configurar explícitamente el nodo 1.
user@hostA# delete apply-groups re0 user@hostA# set apply-groups “${node}” -
Configure grupos de redundancia para la agrupación en clústeres de chasis. Cada nodo tiene interfaces en un grupo de redundancia en el que las interfaces están activas en grupos de redundancia activos (pueden existir varias interfaces activas en un grupo de redundancia). El grupo de redundancia 0 controla el plano de control y el grupo de redundancia 1+ controla el plano de datos e incluye los puertos del plano de datos. Para este ejemplo de modo activo/pasivo, solo un miembro del clúster de chasis está activo a la vez, por lo que solo debe definir grupos de redundancia 0 y 1. Además de los grupos de redundancia, también debe definir:
-
Grupos de Ethernet redundantes: configure cuántas interfaces Ethernet redundantes (vínculos de miembro) estarán activas en el dispositivo para que el sistema pueda asignar los recursos adecuados para él.
-
Prioridad para el plano de control y el plano de datos: defina qué dispositivo tiene prioridad (en el clúster de chasis, se prefiere prioridad alta) para el plano de control y qué dispositivo se prefiere que esté activo para el plano de datos.
-
En el modo activo/pasivo o activo/activo, el plano de control (grupo de redundancia 0) puede estar activo en un chasis distinto del plano de datos (grupo de redundancia 1+ y grupos) chasis. Sin embargo, para este ejemplo, recomendamos tener el plano de control y de datos activos en el mismo miembro del chasis. Cuando el tráfico pasa a través del vínculo de estructura para ir a otro nodo miembro, se introduce la latencia (tráfico del modo de línea z).
-
En dispositivos de la serie SRX (línea SRX5000), la VPN IPsec no se admite en la configuración de clúster de chasis activo/activo (es decir, cuando hay varios grupos de redundancia RG1+) en el modo Z.
-
user@hostA# set chassis cluster reth-count 2 user@hostA# set chassis cluster redundancy-group 1 node 0 priority 254 user@hostA# set chassis cluster redundancy-group 1 node 1 priority 1 user@hostA# set chassis cluster redundancy-group 0 node 0 priority 254 user@hostA# set chassis cluster redundancy-group 0 node 1 priority 1
-
-
Configure los puertos de estructura (datos) del clúster que se utilizan para pasar rtOs en modo activo/pasivo. Para este ejemplo, utilice uno de los puertos de ingresos. Defina dos interfaces de estructura, una en cada chasis, para conectarse entre sí.
Configure las interfaces de datos en la plataforma para que, en caso de que se produzca una conmutación por error en el plano de datos, el otro miembro del clúster de chasis pueda asumir el control de la conexión sin problemas. La transición sin problemas a un nuevo nodo activo se producirá con la conmutación por error del plano de datos. En caso de conmutación por error del plano de control, todos los demonios se reinician en el nuevo nodo, lo que permite un reinicio agraciado para evitar perder la vecindad con los pares (ospf, bgp). Esto promueve una transición sin problemas al nuevo nodo sin pérdida de paquetes.
Debe definir los siguientes elementos:
-
Defina la información de membresía de las interfaces de miembro a la interfaz reth.
-
Defina el grupo de redundancia del que es miembro la interfaz reth. Para este ejemplo activo/pasivo, siempre es 1.
-
Defina la información de interfaz de reth, como la dirección IP de la interfaz.
{primary:node0}[edit]user@hostA# set interfaces fab0 fabric-options member-interfaces ge-3/2/8 user@hostA# set interfaces fab1 fabric-options member-interfaces ge-15/2/8 -
-
(Opcional) Configure el comportamiento del clúster de chasis en caso de que se produzca un error. Para la puerta de enlace de servicios SRX5800, el umbral de conmutación por error se establece en 255. Puede modificar los pesos para determinar el impacto en la conmutación por error del chasis. También debe configurar la recuperación de vínculos de control. La recuperación hace que el nodo secundario se reinicie automáticamente en caso de que el vínculo de control falle y, luego, vuelva a estar en línea. Ingrese estos comandos en el nodo 0.
{primary:node0}[edit]user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-6/0/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-6/1/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-18/0/0 weight 255 user@hostA# set chassis cluster redundancy-group 1 interface-monitor xe-18/1/0 weight 255 user@hostA# set chassis cluster control-link-recoveryEn este paso, se completa la parte de configuración del clúster de chasis del ejemplo de modo activo/pasivo para la puerta de enlace de servicios SRX5800. El resto de este procedimiento describe cómo configurar la zona, el enrutador virtual, el enrutamiento, el conmutador de núcleo EX8208 y el enrutador de borde MX240 para completar el escenario de implementación.
-
(Opcional) Configure y conecte las interfaces de reth a las zonas y enrutadores virtuales adecuados. Para este ejemplo, deje las interfaces reth0 y reth1 en el enrutador virtual predeterminado inet.0, que no requiere ninguna configuración adicional.
{primary:node0}[edit]user@hostA# set security zones security-zone untrust interfaces reth0.0 user@hostA# set security zones security-zone trust interfaces reth1.0 -
(Opcional) Para este ejemplo de modo activo/pasivo, debido a la arquitectura de red simple, use rutas estáticas para definir cómo enrutar a los demás dispositivos de red.
{primary:node0}[edit]user@hostA# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.254 user@hostA# set routing-options static route 10.0.0.0/8 next-hop 10.2.2.254 -
(Opcional) Para el conmutador Ethernet EX8208, los siguientes comandos proporcionan solo un esquema de la configuración aplicable en lo que respecta a este ejemplo de modo activo/pasivo para la puerta de enlace de servicios SRX5800; especialmente las VLAN, el enrutamiento y la configuración de interfaz.
{primary:node0}[edit]user@hostA# set interfaces xe-1/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 user@hostA# set interfaces xe-2/0/0 unit 0 family ethernet-switching port-mode access vlan members SRX5800 user@hostA# set interfaces vlan unit 50 family inet address 10.2.2.254/24 user@hostA# set vlans SRX5800 vlan-id 50 user@hostA# set vlans SRX5800 l3-interface vlan.50 user@hostA# set routing-options static route 0.0.0.0/0 next-hop 10.2.2.1/24 -
(Opcional) Para el enrutador de borde MX240, los siguientes comandos proporcionan solo un esquema de la configuración aplicable en lo que respecta a este ejemplo de modo activo/pasivo para la puerta de enlace de servicios SRX5800; en particular, debe usar una interfaz IRB dentro de una instancia de conmutador virtual en el conmutador.
{primary:node0}[edit]user@hostA# set interfaces xe-1/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching user@hostA# set interfaces xe-2/0/0 encapsulation ethernet-bridge unit 0 family ethernet-switching user@hostA# set interfaces irb unit 0 family inet address 10.1.1.254/24 user@hostA# set routing-options static route 10.0.0.0/8 next-hop 10.1.1.1 user@hostA# set routing-options static route 0.0.0.0/0 next-hop (upstream router) user@hostA# set vlans SRX5800 vlan-id X (could be set to “none”) user@hostA# set vlans SRX5800 domain-type bridge routing-interface irb.0 user@hostA# set vlans SRX5800 domain-type bridge interface xe-1/0/0 user@hostA# set vlans SRX5800 domain-type bridge interface xe-2/0/0
Verificación
Confirme que la configuración funciona correctamente.
- Verificar el estado del clúster de chasis
- Verificación de interfaces de clúster de chasis
- Verificar estadísticas de clúster de chasis
- Verificar estadísticas del plano de control del clúster de chasis
- Verificar estadísticas de plano de datos del clúster de chasis
- Verificar el estado del grupo de redundancia del clúster de chasis
- Solución de problemas con registros
Verificar el estado del clúster de chasis
Propósito
Verifique el estado del clúster de chasis, el estado de conmutación por error y la información del grupo de redundancia.
Acción
Desde el modo operativo, ingrese el show chassis cluster status comando.
{primary:node0}
show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Verificación de interfaces de clúster de chasis
Propósito
Compruebe la información de las interfaces de clúster de chasis.
Acción
Desde el modo operativo, ingrese el show chassis cluster interfaces comando.
{primary:node0}
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA
0 em0 Up Disabled
1 em1 Down Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status
(Physical/Monitored)
fab0 ge-3/2/8 Up / Up
fab0
fab1 ge-15/2/8 Up / Up
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Down Not configured
reth1 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
Verificar estadísticas de clúster de chasis
Propósito
Verifique la información sobre los servicios de clúster de chasis y las estadísticas de vínculos de control (latidos enviados y recibidos), las estadísticas de vínculos de estructura (sondas enviadas y recibidas) y la cantidad de RTO enviadas y recibidas para los servicios.
Acción
Desde el modo operativo, ingrese el show chassis cluster statistics comando.
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 16275
Heartbeat packets received: 16072
Heartbeat packet errors: 0
Control link 1:
Heartbeat packets sent: 0
Heartbeat packets received: 0
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 30690
Probes received: 9390
Child link 1
Probes sent: 0
Probes received: 0
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 0 0
IPv6 session create 0 0
Session close 0 0
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 0
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Verificar estadísticas del plano de control del clúster de chasis
Propósito
Verifique la información sobre las estadísticas del plano de control del clúster de chasis (latidos enviados y recibidos) y las estadísticas del vínculo de estructura (sondeos enviados y recibidos).
Acción
Desde el modo operativo, ingrese el show chassis cluster control-plane statistics comando.
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 16315
Heartbeat packets received: 16113
Heartbeat packet errors: 0
Control link 1:
Heartbeat packets sent: 0
Heartbeat packets received: 0
Heartbeat packet errors: 0
Fabric link statistics:
Child link 0
Probes sent: 30772
Probes received: 9472
Child link 1
Probes sent: 0
Probes received: 0
Verificar estadísticas de plano de datos del clúster de chasis
Propósito
Verifique la información sobre la cantidad de RTO enviadas y recibidas para los servicios.
Acción
Desde el modo operativo, ingrese el show chassis cluster data-plane statistics comando.
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 0 0
DS-LITE create 0 0
Session create 0 0
IPv6 session create 0 0
Session close 0 0
IPv6 session close 0 0
Session change 0 0
IPv6 session change 0 0
ALG Support Library 0 0
Gate create 0 0
Session ageout refresh requests 0 0
IPv6 session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPv6 session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
JSF PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
GPRS SCTP 0 0
GPRS FRAMEWORK 0 0
JSF RTSP ALG 0 0
JSF SUNRPC MAP 0 0
JSF MSRPC MAP 0 0
DS-LITE delete 0 0
JSF SLB 0 0
APPID 0 0
JSF MGCP MAP 0 0
JSF H323 ALG 0 0
JSF RAS ALG 0 0
JSF SCCP MAP 0 0
JSF SIP MAP 0 0
PST_NAT_CREATE 0 0
PST_NAT_CLOSE 0 0
PST_NAT_UPDATE 0 0
JSF TCP STACK 0 0
JSF IKE ALG 0 0
Verificar el estado del grupo de redundancia del clúster de chasis
Propósito
Compruebe el estado y la prioridad de ambos nodos en un clúster e información acerca de si el nodo principal se ha anteponedo o si se ha producido una conmutación por error manual.
Acción
Desde el modo operativo, ingrese el chassis cluster status redundancy-group comando.
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 1 , Failover count: 1
node0 254 primary no no None
node1 1 secondary no no None
Solución de problemas con registros
Propósito
Utilice estos registros para identificar cualquier problema del clúster de chasis. Debe ejecutar estos registros en ambos nodos.
Acción
Desde el modo operativo, ingrese estos show log comandos.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo (SRX1500)
En este ejemplo, se muestra cómo configurar la agrupación en clústeres de chasis activo/pasivo para el dispositivo SRX1500.
Requisitos
Antes de empezar:
Conecte físicamente un par de dispositivos, lo que garantiza que sean los mismos modelos.
Cree un vínculo de estructura conectando una interfaz Gigabit Ethernet en un dispositivo a otra interfaz Gigabit Ethernet en el otro dispositivo.
Cree un vínculo de control conectando el puerto de control de los dos dispositivos SRX1500.
Conéctese a uno de los dispositivos mediante el puerto de la consola. (Este es el nodo que forma el clúster.) y establecer el ID de clúster y el número de nodo.
user@host> set chassis cluster cluster-id 1 node 0 reboot
Conéctese al otro dispositivo mediante el puerto de la consola y establezca el ID del clúster y el número de nodo.
user@host> set chassis cluster cluster-id 1 node 1 reboot
Visión general
En este ejemplo, se utiliza un solo dispositivo del clúster para enrutar todo el tráfico y el otro dispositivo solo se usa en caso de que se produzca un error. (Véase la figura 3.) Cuando se produce un error, el dispositivo de copia de seguridad se convierte en el principal y controla todo el reenvío.
de clúster de chasis activo/pasivo
Puede crear un clúster de chasis activo/pasivo configurando interfaces Ethernet redundantes (reths) que están todas asignadas al mismo grupo de redundancia. Esta configuración minimiza el tráfico a través del vínculo de estructura, ya que solo un nodo del clúster reenvía el tráfico en un momento dado.
En este ejemplo, se configura el grupo (aplicando la configuración con el comando) y la información del clúster de apply-groups chasis. A continuación, configure las zonas de seguridad y las políticas de seguridad. Véase el cuadro 1 al 4.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Grupos |
nodo0 |
|
|
nodo1 |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Vínculos de estructura |
fab0 |
Interfaz: ge-0/0/1 |
|
fab1 |
Interfaz: ge-7/0/1 |
Intervalo de latidos |
– |
1000 |
Umbral del latido del corazón |
– |
3 |
Grupo de redundancia |
0 |
|
|
1 |
|
|
|
Monitoreo de interfaz
|
Número de interfaces Ethernet redundantes |
– |
2 |
Interfaces |
ge-0/0/4 |
Padre redundante: reth0 |
ge-7/0/4 |
Padre redundante: reth0 |
|
ge-0/0/5 |
Padre redundante: reth1 |
|
ge-7/0/5 |
Padre redundante: reth1 |
|
reth0 |
Grupo de redundancia: 1 |
|
|
||
reth1 |
Grupo de redundancia: 1 |
|
|
Nombre |
Parámetros de configuración |
|---|---|
Confianza |
La interfaz reth1.0 está vinculada a esta zona. |
Untrust |
La interfaz reth0.0 está vinculada a esta zona. |
Propósito |
Nombre |
Parámetros de configuración |
|---|---|---|
Esta política de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza. |
CUALQUIER |
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
[edit]
set groups node0 system host-name srx1500-A
set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.110/24
set groups node1 system host-name srx1500-B
set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.111/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces ge-0/0/1
set interfaces fab1 fabric-options member-interfaces ge-7/0/1
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster redundancy-group 0 node 0 priority 100
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 100
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/4 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255
set chassis cluster redundancy-group 1 interface-monitor ge-7/0/5 weight 255
set chassis cluster reth-count 2
set interfaces ge-0/0/5 gigether-options redundant-parent reth1
set interfaces ge-7/0/5 gigether-options redundant-parent reth1
set interfaces ge-0/0/4 gigether-options redundant-parent reth0
set interfaces ge-7/0/4 gigether-options redundant-parent reth0
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 198.51.100.1/24
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 203.0.113.233/24
set security zones security-zone untrust interfaces reth1.0
set security zones security-zone trust interfaces reth0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone untrust policy ANY then permit
Procedimiento paso a paso
Para configurar un clúster de chasis activo/pasivo:
Configure la interfaz de administración.
{primary:node0}[edit] user@host# set groups node0 system host-name srx1500-A user@host# set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.110/24 user@host# set groups node1 system host-name srx1500-B user@host# set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.111/24 user@host# set apply-groups “${node}”Configure la interfaz de estructura.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces ge-0/0/1 user@host# set interfaces fab1 fabric-options member-interfaces ge-7/0/1Configure la configuración de latidos.
{primary:node0}[edit] user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3Configure grupos de redundancia.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 100 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 100 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-7/0/5 weight 255Configure interfaces Ethernet redundantes.
{primary:node0}[edit] user@host# set chassis cluster reth-count 2 user@host# set interfaces ge-0/0/5 gigether-options redundant-parent reth1 user@host# set interfaces ge-7/0/5 gigether-options redundant-parent reth1 user@host# set interfaces ge-0/0/4 gigether-options redundant-parent reth0 user@host# set interfaces ge-7/0/4 gigether-options redundant-parent reth0 user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 198.51.100.1/24 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 203.0.113.233/24Configure zonas de seguridad.
{primary:node0}[edit] user@host# set security zones security-zone untrust interfaces reth1.0 user@host# set security zones security-zone trust interfaces reth0.0Configure políticas de seguridad.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone untrust policy ANY then permit
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show configuration configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para mayor brevedad, el resultado de este show comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se ha reemplazado por puntos suspensivos (...).
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name srx1500-A;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.0.2.110/24;
}
}
}
}
}
node1 {
system {
host-name srx1500-B;
interfaces {
fxp0 {
unit 0 {
family inet {
address 192.0.2.110/24;
}
}
}
}
}
}
apply-groups "${node}";
chassis {
cluster {
reth-count 2;
heartbeat-interval 1000;
heartbeat-threshold 3;
redundancy-group 0 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
interface-monitor {
ge–0/0/4 weight 255;
ge–7/0/4 weight 255;
ge–0/0/5 weight 255;
ge–7/0/5 weight 255;
}
}
}
}
interfaces {
ge–0/0/4 {
gigether–options {
redundant–parent reth0;
}
}
ge–7/0/4{
gigether–options {
redundant–parent reth0;
}
}
ge–0/0/5 {
gigether–options {
redundant–parent reth1;
}
}
ge–7/0/5 {
gigether–options {
redundant–parent reth1;
}
}
fab0 {
fabric–options {
member–interfaces {
ge–0/0/1;
}
}
}
fab1 {
fabric–options {
member–interfaces {
ge–7/0/1;
}
}
}
reth0 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
reth1 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 203.0.113.233/24;
}
}
}
}
...
security {
zones {
security–zone untrust {
interfaces {
reth1.0;
}
}
security–zone trust {
interfaces {
reth0.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy ANY {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar el estado del clúster de chasis
- Verificación de interfaces de clúster de chasis
- Verificar estadísticas de clúster de chasis
- Verificar estadísticas del plano de control del clúster de chasis
- Verificar estadísticas de plano de datos del clúster de chasis
- Verificar el estado del grupo de redundancia del clúster de chasis
- Solución de problemas con registros
Verificar el estado del clúster de chasis
Propósito
Verifique el estado del clúster de chasis, el estado de conmutación por error y la información del grupo de redundancia.
Acción
Desde el modo operativo, ingrese el show chassis cluster status comando.
{primary:node0}
user@host> show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Redundancy group: 1 , Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Verificación de interfaces de clúster de chasis
Propósito
Compruebe la información de las interfaces de clúster de chasis.
Acción
Desde el modo operativo, ingrese el show chassis cluster interfaces comando.
{primary:node0}
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Security
0 em0 Up Disabled
1 em1 Down Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
fab0 ge-0/0/1 Up Disabled
fab0
fab1 ge-7/0/1 Up Disabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
ge-0/0/4 255 Up 1
ge-7/0/4 255 Up 1
ge-0/0/5 255 Up 1
ge-7/0/5 255 Up 1
Verificar estadísticas de clúster de chasis
Propósito
Compruebe la información sobre las estadísticas de los diferentes objetos que se están sincronizando, las saludos de la interfaz de estructura y control, y el estado de las interfaces supervisadas en el clúster.
Acción
Desde el modo operativo, ingrese el show chassis cluster statistics comando.
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 2276
Heartbeat packets received: 2280
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 2272
Probes received: 597
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Verificar estadísticas del plano de control del clúster de chasis
Propósito
Verifique la información sobre las estadísticas del plano de control del clúster de chasis (latidos enviados y recibidos) y las estadísticas del vínculo de estructura (sondeos enviados y recibidos).
Acción
Desde el modo operativo, ingrese el show chassis cluster control-plane statistics comando.
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Verificar estadísticas de plano de datos del clúster de chasis
Propósito
Verifique la información sobre la cantidad de RTO enviadas y recibidas para los servicios.
Acción
Desde el modo operativo, ingrese el show chassis cluster data-plane statistics comando.
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Verificar el estado del grupo de redundancia del clúster de chasis
Propósito
Compruebe el estado y la prioridad de ambos nodos en un clúster e información acerca de si el nodo principal se ha anteponedo o si se ha producido una conmutación por error manual.
Acción
Desde el modo operativo, ingrese el chassis cluster status redundancy-group comando.
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 100 primary no no
node1 1 secondary no no
Solución de problemas con registros
Propósito
Utilice estos registros para identificar cualquier problema del clúster de chasis. Debe ejecutar estos registros en ambos nodos.
Acción
Desde el modo operativo, ingrese estos show comandos.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo (J-Web)
Habilite la agrupación en clústeres. Consulte el paso 1 en Ejemplo: Configurar un par de clústeres de chasis (CLI) activo/pasivo.
Configure la interfaz de administración. Consulte el paso 2 en Ejemplo: Configuración de un par de clústeres de chasis (CLI) activo/pasivo.
Configure la interfaz de estructura. Consulte el paso 3 en Ejemplo: Configurar un par de clústeres de chasis (CLI) activo/pasivo.
Configure los grupos de redundancia.
Seleccione
Configure>Chassis Cluster.Escriba la siguiente información y, a continuación, haga clic en
Apply:Recuento de interfaz de éter redundante:
2Intervalo de latidos:
1000Umbral de latidos:
3Nodos:
0Número de grupo:
0Prioridades:
100
Escriba la siguiente información y, a continuación, haga clic en
Apply:Nodos:
0Número de grupo:
1Prioridades:
1
Escriba la siguiente información y, a continuación, haga clic en
Apply:Nodos:
1Número de grupo:
0Prioridades:
100
Configure las interfaces Ethernet redundantes.
Seleccione
Configure>Chassis Cluster.Seleccione
ge-0/0/4.Ingrese
reth1en el cuadro primario redundante.Haga clic en
Apply.Seleccione
ge-7/0/4.Ingrese
reth1en el cuadro primario redundante.Haga clic en
Apply.Seleccione
ge-0/0/5.Ingrese
reth0en el cuadro primario redundante.Haga clic en
Apply.Seleccione
ge-7/0/5.Ingrese
reth0en el cuadro primario redundante.Haga clic en
Apply.Consulte el paso 5 en Ejemplo: Configuración de un par de clústeres de chasis activo y pasivo (CLI) para los últimos cuatro ajustes de configuración.
Configure las zonas de seguridad. Consulte el paso 6 en Ejemplo: Configuración de un par de clústeres de chasis (CLI) activo/pasivo.
Configure las políticas de seguridad. Consulte el paso 7 en Ejemplo: Configuración de un par de clústeres de chasis (CLI) activo/pasivo.
Haga clic
OKpara comprobar la configuración y guardarla como configuración candidata y, a continuación, haga clic enCommit Options>Commit.
Ver también
Descripción de la implementación de clústeres de chasis activo/pasivo con un túnel IPsec
En este caso, un solo dispositivo del clúster termina en un túnel IPsec y se utiliza para procesar todo el tráfico, mientras que el otro dispositivo solo se utiliza en caso de que se produzca un error (consulte la Figura 4). Cuando se produce un error, el dispositivo de copia de seguridad se convierte en el principal y controla todo el reenvío.
Un clúster de chasis activo/pasivo se puede lograr mediante el uso de interfaces Ethernet redundantes (reths) que están todas asignadas al mismo grupo de redundancia. Si se produce un error en alguna de las interfaces de un grupo activo en un nodo, el grupo se declara inactivo y todas las interfaces del grupo se convierten en error en el otro nodo.
Esta configuración proporciona una forma para que un túnel IPsec de sitio a sitio termine en un clúster activo/pasivo en el que se utiliza una interfaz Ethernet redundante como punto de conexión del túnel. En caso de que se produzca un error, la interfaz Ethernet redundante del dispositivo de la serie SRX de respaldo se activa, lo que obliga al túnel a cambiar de punto de conexión para terminar en el nuevo dispositivo de la serie SRX activo. Dado que las claves de túnel y la información de sesión se sincronizan entre los miembros del clúster de chasis, la conmutación por error no requiere que el túnel se relanze y se mantienen todas las sesiones establecidas.
En caso de falla del RG0 (motor de enrutamiento), los protocolos de enrutamiento deben restablecerse en el nuevo nodo principal. Si se configura la supervisión de VPN o la detección de pares muertos y su temporizador caduca antes de que el enrutamiento vuelva a converger en el nuevo RG0 principal, el túnel VPN se desactivará y se volverá a negociar.
Los túneles dinámicos no pueden equilibrar la carga en diferentes SPC.
Ver también
Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec
En este ejemplo, se muestra cómo configurar la agrupación en clústeres de chasis activo/pasivo con un túnel IPsec para dispositivos de la serie SRX.
Requisitos
Antes de empezar:
Obtenga dos modelos SRX5000 con configuraciones de hardware idénticas, un dispositivo SRX1500 y cuatro conmutadores Ethernet de la serie EX.
Conecte físicamente los dos dispositivos (de espalda a frente para los puertos de estructura y control) y asegúrese de que sean los mismos modelos. Puede configurar tanto los puertos de estructura como de control en la línea SRX5000.
Establezca los dos dispositivos en modo de clúster y reinicie los dispositivos. Debe introducir los siguientes comandos de modo operativo en ambos dispositivos, por ejemplo:
En el nodo 0:
user@host> set chassis cluster cluster-id 1 node 0 reboot
En el nodo 1:
user@host> set chassis cluster cluster-id 1 node 1 reboot
El ID de clúster es el mismo en ambos dispositivos, pero el ID de nodo debe ser diferente, ya que un dispositivo es el nodo 0 y el otro es el nodo 1. El intervalo para el ID de clúster es del 1 al 255. Establecer un ID de clúster en 0 equivale a deshabilitar un clúster.
El ID de clúster mayor que 15 solo se puede establecer cuando las interfaces de vínculo de estructura y control están conectadas de forma posterior.
Obtenga dos modelos SRX5000 con configuraciones de hardware idénticas, un enrutador de borde SRX1500 y cuatro conmutadores Ethernet de la serie EX.
Conecte físicamente los dos dispositivos (de espalda a frente para los puertos de estructura y control) y asegúrese de que sean los mismos modelos. Puede configurar tanto los puertos de estructura como de control en la línea SRX5000.
A partir de este punto, la configuración del clúster se sincroniza entre los miembros del nodo y los dos dispositivos independientes funcionan como un solo dispositivo. Las configuraciones específicas para miembros (como la dirección IP del puerto de administración de cada miembro) se ingresan mediante grupos de configuración.
Visión general
En este ejemplo, un solo dispositivo del clúster termina en un túnel IPsec y se utiliza para procesar todo el tráfico, y el otro dispositivo solo se usa en caso de que se produzca un error. (Véase la Figura 5.) Cuando se produce un error, el dispositivo de copia de seguridad se convierte en el principal y controla todo el reenvío.
En este ejemplo, se configura el grupo (aplicando la configuración con el comando) y la información del clúster de apply-groups chasis. A continuación, configure IKE, IPsec, ruta estática, zona de seguridad y parámetros de política de seguridad. Véase el cuadro 5 al cuadro 11.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Grupos |
nodo0 |
|
|
nodo1 |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Vínculos de estructura |
fab0 |
Interfaz: xe-5/3/0 |
|
fab1 |
Interfaz: xe-17/3/0 |
Número de interfaces Ethernet redundantes |
– |
2 |
Intervalo de latidos |
– |
1000 |
Umbral del latido del corazón |
– |
3 |
Grupo de redundancia |
0 |
|
|
1 |
|
|
|
Monitoreo de interfaz
|
Interfaces |
xe-5/1/0 |
Padre redundante: reth1 |
|
xe-5/1/0 |
Padre redundante: reth1 |
|
xe-5/0/0 |
Padre redundante: reth0 |
|
xe-17/0/0 |
Padre redundante: reth0 |
|
reth0 |
Grupo de redundancia: 1 |
|
|
|
|
reth1 |
Grupo de redundancia: 1 |
|
|
|
|
st0 |
|
|
|
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
estándar establecido por propuesta |
- |
Política |
Preshared |
|
Gateway |
SRX1500-1 |
Nota:
En la agrupación en clústeres de chasis SRX, solo se admiten las interfaces reth y lo0 para la configuración de interfaz externa de IKE. Se pueden configurar otros tipos de interfaz, pero es posible que IPsec VPN no funcione. Si se utiliza una interfaz lógica lo0 como interfaz externa de puerta de enlace IKE, no se puede configurar con RG0. |
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
estándar establecido por propuesta |
– |
Política |
Std |
– |
VPN |
SRX1500-1 |
Nota:
El nombre manual de VPN y el nombre de la puerta de enlace de sitio a sitio no pueden ser iguales. |
Una interfaz de túnel segura (st0) de st0.16000 a st0.16385 está reservada para la alta disponibilidad de varios nodos y para el cifrado del vínculo de control de AD en el clúster de chasis. Estas interfaces no son interfaces configurables por el usuario. Solo puede usar interfaces de st0.0 a st0.15999.
Nombre |
Parámetros de configuración |
|---|---|
0.0.0.0/0 |
Siguiente salto: 10.2.1.1 |
10.3.0.0/16 |
Siguiente salto: 10.10.1.2 |
Nombre |
Parámetros de configuración |
|---|---|
Confianza |
|
Untrust |
|
Vpn |
|
Propósito |
Nombre |
Parámetros de configuración |
|---|---|---|
Esta política de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza. |
CUALQUIER |
|
Esta política de seguridad permite el tráfico desde la zona de confianza a la zona VPN. |
vpn-any |
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
{primary:node0}[edit]
set chassis cluster control-ports fpc 2 port 0
set chassis cluster control-ports fpc 14 port 0
set groups node0 system host-name SRX5800-1
set groups node0 interfaces fxp0 unit 0 family inet address 172.19.100.50/24
set groups node1 system host-name SRX5800-2
set groups node1 interfaces fxp0 unit 0 family inet address 172.19.100.51/24
set apply-groups “${node}”
set interfaces fab0 fabric-options member-interfaces xe-5/3/0
set interfaces fab1 fabric-options member-interfaces xe-17/3/0
set chassis cluster reth-count 2
set chassis cluster heartbeat-interval 1000
set chassis cluster heartbeat-threshold 3
set chassis cluster node 0
set chassis cluster node 1
set chassis cluster redundancy-group 0 node 0 priority 254
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 254
set chassis cluster redundancy-group 1 node 1 priority 1
set chassis cluster redundancy-group 1 preempt
set chassis cluster redundancy-group 1 interface-monitor xe-5/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-5/1/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-17/0/0 weight 255
set chassis cluster redundancy-group 1 interface-monitor xe-17/1/0 weight 255
set interfaces xe-5/1/0 gigether-options redundant-parent reth1
set interfaces xe-17/1/0 gigether-options redundant-parent reth1
set interfaces xe-5/0/0 gigether-options redundant-parent reth0
set interfaces xe-17/0/0 gigether-options redundant-parent reth0
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 10.1.1.60/16
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 10.2.1.60/16
set interfaces st0 unit 0 multipoint family inet address 10.10.1.1/30
set security ike policy preShared mode main
set security ike policy preShared proposal-set standard
set security ike policy preShared pre-shared-key ascii-text "$ABC123"## Encrypted password
set security ike gateway SRX1500-1 ike-policy preShared
set security ike gateway SRX1500-1 address 10.1.1.90
set security ike gateway SRX1500-1 external-interface reth0.0
set security ipsec policy std proposal-set standard
set security ipsec vpn SRX1500-1 bind-interface st0.0
set security ipsec vpn SRX1500-1 vpn-monitor optimized
set security ipsec vpn SRX1500-1 ike gateway SRX1500-1
set security ipsec vpn SRX1500-1 ike ipsec-policy std
set security ipsec vpn SRX1500-1 establish-tunnels immediately
set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1
set routing-options static route 10.3.0.0/16 next-hop 10.10.1.2
set security zones security-zone untrust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces reth1.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces reth0.0
set security zones security-zone vpn host-inbound-traffic system-services all 144
set security zones security-zone vpn host-inbound-traffic protocols all
set security zones security-zone vpn interfaces st0.0
set security policies from-zone trust to-zone untrust policy ANY match source-address any
set security policies from-zone trust to-zone untrust policy ANY match destination-address any
set security policies from-zone trust to-zone untrust policy ANY match application any
set security policies from-zone trust to-zone vpn policy vpn-any then permit
Procedimiento paso a paso
Para configurar un par de clústeres de chasis activo/pasivo con un túnel IPsec:
Configure los puertos de control.
{primary:node0}[edit] user@host# set chassis cluster control-ports fpc 2 port 0 user@host# set chassis cluster control-ports fpc 14 port 0Configure la interfaz de administración.
{primary:node0}[edit] user@host# set groups node0 system host-name SRX5800-1 user@host# set groups node0 interfaces fxp0 unit 0 family inet address 172.19.100.50/24 user@host#set groups node1 system host-name SRX5800-2 user@host# set groups node1 interfaces fxp0 unit 0 family inet address 172.19.100.51/24 user@host# set apply-groups “${node}”Configure la interfaz de estructura.
{primary:node0}[edit] user@host# set interfaces fab0 fabric-options member-interfaces xe-5/3/0 user@host# set interfaces fab1 fabric-options member-interfaces xe-17/3/0Configure grupos de redundancia.
{primary:node0}[edit] user@host# set chassis cluster reth-count 2 user@host# set chassis cluster heartbeat-interval 1000 user@host# set chassis cluster heartbeat-threshold 3 user@host# set chassis cluster node 0 user@host# set chassis cluster node 1 user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 254 user@host# set chassis cluster redundancy-group 1 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 preempt user@host# set chassis cluster redundancy-group 1 interface-monitor xe-5/0/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-5/1/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-17/0/0 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor xe-17/1/0 weight 255Configure interfaces Ethernet redundantes.
{primary:node0}[edit] user@host# set interfaces xe-5/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-17/1/0 gigether-options redundant-parent reth1 user@host# set interfaces xe-5/0/0 gigether-options redundant-parent reth0 user@host# set interfaces xe-17/0/0 gigether-options redundant-parent reth0 user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 10.1.1.60/16 user@host# set interfaces reth1 redundant-ether-options redundancy-group 1 user@host# set interfaces reth1 unit 0 family inet address 10.2.1.60/16Configure los parámetros IPsec.
{primary:node0}[edit] user@host# set interfaces st0 unit 0 multipoint family inet address 10.10.1.1/30 user@host# set security ike policy preShared mode main user@host# set security ike policy preShared proposal-set standard user@host# set security ike policy preShared pre-shared-key ascii-text "$ABC123"## Encrypted password user@host# set security ike gateway SRX1500-1 ike-policy preShared user@host# set security ike gateway SRX1500-1 address 10.1.1.90 user@host# set security ike gateway SRX1500-1 external-interface reth0.0 user@host# set security ipsec policy std proposal-set standard user@host# set security ipsec vpn SRX1500-1 bind-interface st0.0 user@host# set security ipsec vpn SRX1500-1 vpn-monitor optimized user@host# set security ipsec vpn SRX1500-1 ike gateway SRX1500-1 user@host# set security ipsec vpn SRX1500-1 ike ipsec-policy std user@host# set security ipsec vpn SRX1500-1 establish-tunnels immediatelyConfigure rutas estáticas.
{primary:node0}[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1 user@host# set routing-options static route 10.3.0.0/16 next-hop 10.10.1.2Configure zonas de seguridad.
{primary:node0}[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces reth1.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces reth0.0 user@host# set security zones security-zone vpn host-inbound-traffic system-services all user@host# set security zones security-zone vpn host-inbound-traffic protocols all user@host# set security zones security-zone vpn interfaces st0.0Configure políticas de seguridad.
{primary:node0}[edit] user@host# set security policies from-zone trust to-zone untrust policy ANY match source-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ANY match application any user@host# set security policies from-zone trust to-zone vpn policy vpn-any then permit
Resultados
Desde el modo operativo, ingrese el comando para confirmar su show configuration configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para mayor brevedad, el resultado de este show comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se ha reemplazado por puntos suspensivos (...).
user@host> show configuration
version x.xx.x;
groups {
node0 {
system {
host-name SRX58001;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 172.19.100.50/24;
}
}
}
}
}
node1 {
system {
host-name SRX58002;
}
interfaces {
fxp0 {
unit 0 {
family inet {
address 172.19.100.51/24;
}
}
}
}
}
}
apply-groups "${node}";
system {
root-authentication {
encrypted-password "$ABC123";
}
}
chassis {
cluster {
reth-count 2;
heartbeat-interval 1000;
heartbeat-threshold 3;
control-ports {
fpc 2 port 0;
fpc 14 port 0;
}
redundancy-group 0 {
node 0 priority 254;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 254;
node 1 priority 1;
preempt;
interface-monitor {
xe–6/0/0 weight 255;
xe–6/1/0 weight 255;
xe–18/0/0 weight 255;
xe–18/1/0 weight 255;
}
}
}
}
interfaces {
xe–5/0/0 {
gigether–options {
redundant–parent reth0;
}
}
xe–5/1/0 {
gigether–options {
redundant–parent reth1;
}
}
xe–17/0/0 {
gigether–options {
redundant–parent reth0;
}
}
xe–17/1/0 {
gigether–options {
redundant–parent reth1;
}
}
fab0 {
fabric–options {
member–interfaces {
xe–5/3/0;
}
}
}
fab1 {
fabric–options {
member–interfaces {
xe–17/3/0;
}
}
}
reth0 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.1.1.60/16;
}
}
}
reth1 {
redundant–ether–options {
redundancy–group 1;
}
unit 0 {
family inet {
address 10.2.1.60/16;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 5.4.3.2/32;
}
}
}
}
routing–options {
static {
route 0.0.0.0/0 {
next–hop 10.2.1.1;
}
route 10.3.0.0/16 {
next–hop 10.10.1.2;
}
}
}
security {
zones {
security–zone trust {
host–inbound–traffic {
system–services {
all;
}
}
interfaces {
reth0.0;
}
}
security–zone untrust
host-inbound-traffic {
system-services {
all;
}
}
protocols {
all;
}
interfaces {
reth1.0;
}
}
security-zone vpn {
host-inbound-traffic {
system-services {
all;
}
}
protocols {
all;
}
interfaces {
st0.0;
}
}
}
policies {
from–zone trust to–zone untrust {
policy ANY {
match {
source–address any;
destination–address any;
application any;
}
then {
permit;
}
}
}
from–zone trust to–zone vpn {
policy vpn {
match {
source–address any;
destination–address any;
application any;
}
then {
permit;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar el estado del clúster de chasis
- Verificación de interfaces de clúster de chasis
- Verificar estadísticas de clúster de chasis
- Verificar estadísticas del plano de control del clúster de chasis
- Verificar estadísticas de plano de datos del clúster de chasis
- Verificar el estado del grupo de redundancia del clúster de chasis
- Solución de problemas con registros
Verificar el estado del clúster de chasis
Propósito
Verifique el estado del clúster de chasis, el estado de conmutación por error y la información del grupo de redundancia.
Acción
Desde el modo operativo, ingrese el show chassis cluster status comando.
{primary:node0}
show chassis cluster status
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
node0 1 primary no no
node1 254 secondary no no
Redundancy group: 1 , Failover count: 1
node0 1 primary yes no
node1 254 secondary yes no
Verificación de interfaces de clúster de chasis
Propósito
Compruebe las interfaces del clúster de chasis.
Acción
Desde el modo operativo, ingrese el show chassis cluster interfaces comando.
{primary:node0}
user@host> show chassis cluster interfaces
Control link name: fxp1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
Interface Monitoring:
Interface Weight Status Redundancy-group
xe-5/0/0 255 Up 1
xe-5/1/0 255 Up 1
xe-17/0/0 255 Up 1
xe-17/1/0 255 Up 1
Verificar estadísticas de clúster de chasis
Propósito
Verifique la información sobre los servicios de clúster de chasis y las estadísticas de vínculos de control (latidos enviados y recibidos), las estadísticas de vínculos de estructura (sondas enviadas y recibidas) y la cantidad de RTO enviadas y recibidas para los servicios.
Acción
Desde el modo operativo, ingrese el show chassis cluster statistics comando.
{primary:node0}
user@host> show chassis cluster statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Verificar estadísticas del plano de control del clúster de chasis
Propósito
Verifique la información sobre las estadísticas del plano de control del clúster de chasis (latidos enviados y recibidos) y las estadísticas del vínculo de estructura (sondeos enviados y recibidos).
Acción
Desde el modo operativo, ingrese el show chassis cluster control-panel statistics comando.
{primary:node0}
user@host> show chassis cluster control-plane statistics
Control link statistics:
Control link 0:
Heartbeat packets sent: 258689
Heartbeat packets received: 258684
Heartbeat packets errors: 0
Fabric link statistics:
Child link 0
Probes sent: 258681
Probes received: 258681
Verificar estadísticas de plano de datos del clúster de chasis
Propósito
Verifique la información sobre la cantidad de RTO enviadas y recibidas para los servicios.
Acción
Desde el modo operativo, ingrese el show chassis cluster data-plane statistics comando.
{primary:node0}
user@host> show chassis cluster data-plane statistics
Services Synchronized:
Service name RTOs sent RTOs received
Translation context 0 0
Incoming NAT 0 0
Resource manager 6 0
Session create 161 0
Session close 148 0
Session change 0 0
Gate create 0 0
Session ageout refresh requests 0 0
Session ageout refresh replies 0 0
IPSec VPN 0 0
Firewall user authentication 0 0
MGCP ALG 0 0
H323 ALG 0 0
SIP ALG 0 0
SCCP ALG 0 0
PPTP ALG 0 0
RPC ALG 0 0
RTSP ALG 0 0
RAS ALG 0 0
MAC address learning 0 0
GPRS GTP 0 0
Verificar el estado del grupo de redundancia del clúster de chasis
Propósito
Compruebe el estado y la prioridad de ambos nodos en un clúster e información acerca de si el nodo principal se ha anteponedo o si se ha producido una conmutación por error manual.
Acción
Desde el modo operativo, ingrese el chassis cluster status redundancy-group comando.
{primary:node0}
user@host> show chassis cluster status redundancy-group 1
Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy-Group: 1, Failover count: 1
node0 0 primary yes no
node1 254 secondary yes no
Solución de problemas con registros
Propósito
Utilice estos registros para identificar cualquier problema del clúster de chasis. Debe ejecutar estos registros en ambos nodos.
Acción
Desde el modo operativo, ingrese estos show comandos.
user@host> show log jsrpd user@host> show log chassisd user@host> show log messages user@host> show log dcd user@host> show traceoptions
Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec (J-Web)
Habilitar clústeres. Consulte el paso 1 en Ejemplo: Configurar un par de clústeres de chasis activo/pasivo con un túnel IPsec.
Configure la interfaz de administración. Consulte el paso 2 en Ejemplo: Configurar un par de clústeres de chasis activo/pasivo con un túnel IPsec.
Configure la interfaz de estructura. Consulte el paso 3 en Ejemplo: Configurar un par de clústeres de chasis activo/pasivo con un túnel IPsec.
Configure los grupos de redundancia.
Seleccione
Configure>System Properties>Chassis Cluster.Escriba la siguiente información y, a continuación, haga clic en
Apply:Recuento de interfaces éter redundantes:
2Intervalo de latidos:
1000Umbral de latidos:
3Nodos:
0Número de grupo:
0Prioridades:
254
Escriba la siguiente información y, a continuación, haga clic en
Apply:Nodos:
0Número de grupo:
1Prioridades:
254
Escriba la siguiente información y, a continuación, haga clic en
Apply:Nodos:
1Número de grupo:
0Prioridades:
1
Escriba la siguiente información y, a continuación, haga clic en
Apply:Nodos:
1Número de grupo:
1Prioridades:
1Preferencia: Active la casilla de verificación.
Monitor de interfaz— Interfaz:
xe-5/0/0Monitor de interfaz— Peso:
255Monitor de interfaz— Interfaz:
xe-5/1/0Monitor de interfaz— Peso:
255Monitor de interfaz— Interfaz:
xe-17/0/0Monitor de interfaz— Peso:
255Monitor de interfaz— Interfaz:
xe-17/1/0Monitor de interfaz— Peso:
255
Configure las interfaces Ethernet redundantes.
Seleccione
Configure>System Properties>Chassis Cluster.Seleccione
xe-5/1/0.Ingrese
reth1en el cuadro primario redundante.Haga clic en
Apply.Seleccione
xe-17/1/0.Ingrese
reth1en el cuadro primario redundante.Haga clic en
Apply.Seleccione
xe-5/0/0.Ingrese
reth0en el cuadro primario redundante.Haga clic en
Apply.Seleccione
xe-17/0/0.Ingrese
reth0en el cuadro primario redundante.Haga clic en
Apply.Consulte el paso 5 en Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec.
Configure la configuración de IPsec. Consulte el paso 6 en Ejemplo: Configurar un par de clústeres de chasis activo/pasivo con un túnel IPsec.
Configure las rutas estáticas .
Seleccione
Configure>Routing>Static Routing.Haga clic en
Add.Escriba la siguiente información y, a continuación, haga clic en
Apply:Dirección de ruta estática:
0.0.0.0/0Direcciones del próximo salto:
10.2.1.1
Escriba la siguiente información y, a continuación, haga clic en
Apply:Dirección de ruta estática:
10.3.0.0/16Direcciones del próximo salto:
10.10.1.2
Configure las zonas de seguridad. Consulte el paso 8 en Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec.
Configure las políticas de seguridad. Consulte el paso 9 en Ejemplo: Configurar un par de clústeres de chasis activo/pasivo con un túnel IPsec.
Haga clic
OKpara comprobar la configuración y guardarla como configuración candidata y, a continuación, haga clic enCommit Options>Commit.